El atacante drena $10 millones en criptomonedas tras un ataque de phishing en la cuenta de una ballena

En un incidente de seguridad significativo rastreado hasta septiembre de 2023, un inversor en criptomonedas fue víctima de un sofisticado ataque de phishing que finalmente le costó 24 millones de dólares en activos en staking. Lo más notable es que los atacantes lograron siphonar con éxito 10 millones de dólares en Ethereum a Tornado Cash, un servicio de mezcla de criptomonedas comúnmente utilizado para ocultar el origen de los fondos. Este incidente destaca la creciente sofisticación de las amenazas cibernéticas dirigidas a inversores en cripto y las vulnerabilidades críticas en la forma en que los usuarios interactúan con los contratos inteligentes.

La brecha comenzó cuando la víctima autorizó inadvertidamente lo que parecía una transacción de token rutinaria. A través de una técnica conocida como “Increase Allowance”, el atacante obtuvo acceso programático a las tenencias de cripto de la víctima. Empresas de seguridad en blockchain como CertiK identificaron la cuenta comprometida el 21 de marzo, revelando que aproximadamente 3,700 ETH habían sido desviados a Tornado Cash—como parte de una pérdida mayor de 24 millones de dólares que incluía tanto stETH del servicio de staking líquido de Rocket Pool como tokens rETH. Con ETH cotizando cerca de $2,98K en ese momento, esto representó una pérdida de capital enorme para la víctima.

Cómo las aprobaciones de tokens se convirtieron en un arma contra los usuarios de cripto

El ataque explotó una característica fundamental del estándar de tokens ERC-20 de Ethereum. Cuando los usuarios interactúan con aplicaciones descentralizadas, a menudo otorgan permiso a los contratos inteligentes para mover sus tokens—una función de conveniencia que se ha convertido en un objetivo principal para los atacantes. Según especialistas en detección de fraudes en Scam Sniffer, la víctima aprobó sin saberlo derechos de gasto a través del mecanismo de allowance del token, entregando efectivamente una llave a su tesorería de cripto al atacante.

Esta técnica no es nueva, pero su prevalencia es alarmante. El análisis de PeckShield mostró que el atacante convirtió los activos robados en aproximadamente 13,785 ETH y 1.64 millones de DAI (cada uno valorado en aproximadamente $1.00 en las tasas de mercado actuales). Aunque algunos de los DAI fueron transferidos a la plataforma de intercambio FixedFload, la mayoría de los fondos robados fluyeron a través de múltiples billeteras diseñadas para oscurecer la pista.

La conexión con Tornado Cash: lavado de cripto robado

Tornado Cash sirve como una pieza clave en la infraestructura criminal. Al depositar criptomonedas en este servicio de mezcla, los atacantes rompen la transparencia de la blockchain—una ventaja clave que las criptomonedas deberían eliminar. La transferencia de $10 millones a Tornado Cash representa el intento del atacante de separarse del robo rastreable y retirar o mover los fondos robados sin ser detectados.

Un patrón de pérdidas crecientes: $47 millones en phishing en febrero

El incidente de septiembre de 2023 no fue un evento aislado. El informe completo de Scam Sniffer reveló que casi $47 millones se perdieron en estafas relacionadas con phishing solo en febrero. De manera alarmante, el 78% de estos robos ocurrieron en la red de Ethereum, con tokens ERC-20 constituyendo el 86% de todos los activos robados. Estos datos subrayan una realidad preocupante: a pesar de años de advertencias de seguridad, los inversores siguen perdiendo sumas asombrosas mediante técnicas de explotación relativamente sencillas.

Incidentes recientes demuestran aún más el alcance de esta vulnerabilidad. El 20 de marzo, actores maliciosos explotaron un contrato obsoleto de la plataforma Dolomite para drenar $1.8 millones de usuarios que previamente habían otorgado permisos de token a ese contrato. Los desarrolladores de Dolomite aconsejaron urgentemente a los usuarios revocar todos los permisos otorgados a la antigua dirección del contrato, una medida reactiva que llegó demasiado tarde para fondos ya comprometidos.

Cuando las respuestas de seguridad funcionan: el caso de Layerswap

No todos los incidentes de seguridad en cripto terminan en pérdida total de activos. El mismo día en que se explotó Dolomite, el equipo de Layerswap logró contener un ataque en su sitio web tras detectar acceso no autorizado. Aunque su respuesta rápida evitó un desastre completo, los atacantes aún siphonaron aproximadamente $100,000 de unos 50 usuarios antes de que se contuviera la brecha. Layerswap se comprometió a reembolsar a los usuarios afectados y ofrecer compensaciones adicionales—una rareza en el ecosistema cripto, a menudo implacable.

La conclusión: por qué los atacantes se enfocan en phishing y aprobaciones de tokens

La persistencia de los ataques de phishing en criptomonedas proviene de su efectividad y relativa sencillez. A diferencia de explotaciones complejas de contratos inteligentes que requieren una gran experiencia técnica, las estafas por aprobaciones de tokens aprovechan la ingeniería social y la negligencia del usuario. Cada activo robado—ya sea $10 millones siphonados a Tornado Cash o cantidades menores drenadas a través de contratos comprometidos—representa una falla tanto en la conciencia del usuario como en la infraestructura de seguridad en general.

Para los participantes en criptomonedas, las lecciones son fundamentales. La vigilancia implica examinar cada aprobación de contrato, entender qué permisos estás otorgando y auditar regularmente las aprobaciones activas en plataformas como Etherscan. Para la industria, exige el desarrollo colaborativo de mejores herramientas de detección, sistemas de advertencia más claros y iniciativas educativas que ayuden a los usuarios a reconocer intentos de phishing antes de autorizar transacciones maliciosas. Hasta que estas medidas se conviertan en la norma, los atacantes seguirán siphonando millones en cripto a través de phishing y explotación de aprobaciones de tokens.